Varnostna orodja SIEM so tista, ki na podlagi vpeljanih politik in analize podatkov omogočajo avtomatizirane odzive na morebitne varnostne incidente. Pa so in koliko so zares zanesljiva?
Varnostne ekipe so v orodja SIEM vložile ogromno – podatkovne vire, pravila, licence. Kljub temu najnovejša analiza kaže, da sodobni SIEM spregledajo skoraj 80 odstotkov znanih tehnik po ogrodju MITRE ATT&CK. To pomeni, da lahko napadalci z zelo običajnimi tehnikami ostanejo v sistemih več tednov ali mesecev, čeprav organizacija uporablja »vodilno« platformo in ima v njej na tone shranjenih sistemskih zabeležk (logov).
Jedro problema ni primanjkljaj podatkov, ampak neskladje med vnosom telemetrije in dejanskimi zaznavami. SIEM je zgodovinsko nastal kot sistem za upravljanje dnevnikov in skladnost, ne kot namenski stroj za zaznavo in odziv. V okolju, kjer napadalci prepletajo končne točke, identitete, oblak in omrežje, SIEM brez premišljene in stalno preverjane vsebine zaznav pogosto ostanejo »drage shrambe« zabeleženih dogodkov.
Iluzija varnosti
Letni pregled stanja zaznav, ki ga izvaja podjetje CardinalOps, to natančno kvantificira: povprečen SIEM pokrije le približno 21 odstotkov relevantnih tehnik ATT&CK (gre sicer za rahlo, dvoodstotno izboljšavo v primerjavi z letom prej), približno 13 odstotkov uveljavljenih pravil pa je nefunkcionalnih zaradi napačno nastavljenih virov ali manjkajočih polj v logih. Rezultat je iluzija varnosti: telemetrija sicer obstaja, a brez natančnih nastavitev zaznavanja, tako imenovanega detection inženiringa, se napadi izmuznejo. David Kasabji, vodilni analitik varnostnoobveščevalnih podatkov v podjetju NIL, ki je del skupine Conscia, pojasnjuje: »SIEM so bili zasnovani predvsem kot centralizirana zbirališča podatkov z osnovnimi zmogljivostmi za korelacijo in analizo varnostnih dogodkov. Danes pa napredni napadi pogosto potekajo na več ravneh in zahtevajo prepoznavo subtilnih vzorcev, ki presegajo zmogljivosti klasičnega SIEM.«
Orodje za spremljanje, in ne odzivanje
Sogovornik še meni, da je pogosto težava v tem, da SIEM nimajo vgrajenih funkcionalnosti za neposredno in avtomatizirano odzivanje na zaznane grožnje. To pomeni, da so v prvi vrsti orodje za spremljanje in forenzično analizo, medtem ko aktivni odziv na incident navadno zahteva dodatne rešitve ali integracije.
David Kasabji, NIL: »Danes napredni napadi pogosto potekajo na več ravneh in zahtevajo prepoznavo subtilnih vzorcev, ki presegajo zmogljivosti klasičnega SIEM.«
Poleg tega je učinkovitost SIEM zelo odvisna od kakovosti in razumevanja telemetrije iz podatkovnih virov. Če so podatki iz končnih točk, omrežij, identitet ali oblaka nepopolni ali niso pravilno integrirani, številne napredne tehnike napadalcev ostanejo neopažene. »V praksi to pomeni, da veliko napadov poteka zunaj ‘vidnega polja’ SIEM, še posebej, če organizacija ni posvetila dovolj pozornosti pravilni integraciji in konfiguraciji virov,« našteva Kasabji in dodaja, da je glavni izziv tudi to, da so številna pravila v SIEM generična in pogosto ne sledijo specifičnim grožnjam, ki so pomembne za posamezno okolje. Za učinkovito zaznavanje napadov je treba prilagoditi pravila glede na aktualno grozečo sliko in lastno infrastrukturo, kar pa zahteva poglobljeno znanje in redno posodabljanje.
Kaj SIEM dela dobro …
Paradoks je, da vnos podatkov ni ozko grlo. Povprečen SIEM zajema okoli 259 tipov logov iz skoraj 24 tisoč različnih virov – teoretično dovolj za pokritje več kot 90 odstotkov ogrodja ATT&CK. Toda ročno pisanje pravil, krhki delovni tokovi in pomanjkanje stalnega preverjanja pomenijo, da ta potencial ostaja neizrabljen.
Merjenje pokritja tehnik skozi MITRE ATT&CK daje trezen, na nasprotniku utemeljen pogled: katere korake v verigi napada bi v vašem okolju dejansko ujeli in katerih ne. To usmeri inženiring zaznav v konkretne prioritete, denimo Process Injection – T1055, Credential Dumping – T1003, namesto v kozmetične metrike, kot sta golo število pravil ali količina logov. Pri pokrivanju morebitnih lukenj v zaznavanju ima zato veliko vlogo prej omenjeno prilagojeno zaznavanje (custom detection engineering). »To pomeni, da strokovnjaki razvijajo lastna pravila, playbooke in korelacijske logike na podlagi aktualnih groženj, notranjih tveganj in poslovnih procesov,« pojasnjuje David Kasabji. S tem je namreč mogoče nadgraditi osnovna ali generična pravila, ki jih ponujajo proizvajalci rešitev SIEM, ter povečati verjetnost zaznave naprednih ali »low-and-slow« napadov, ki pogosto ostanejo pod radarjem. »V praksi pa je za učinkovito prilagojeno zaznavo nujno imeti tako dobro pokritost s podatki kot tudi ustrezne kadre z znanjem o aktualnih grožnjah in napredni analitiki, poudarja sogovornik.
… in česa ne?
SIEM ostaja koristen za centralno hrambo, iskanje zgodovine in skladnost (EU-regulativi NIS2 in DORA postavljata zahteve glede sledenja in revizij). A ni plug-and-play rešitev za zanesljivo zaznavo in odziv. Za zadnje so v praksi uspešnejše kombinacije, ki vključujejo XDR (združenje končnih točk, identitet, oblaka in omrežja z odzivom), avtomatizacijo in stalno validacijo pravil. David Kasabji o lastnih izkušnjah: »Vsekakor opažamo, da številna podjetja SIEM še vedno dojemajo kot temelj celotne varnostne detekcije.
»SIEM ostaja koristen za centralno hrambo, iskanje zgodovine in skladnost. A ni plug-and-play rešitev za zanesljivo zaznavo in odziv.«
SIEM je bil vrsto let de facto standard, a se narava groženj in IKT-okolij spreminja mnogo hitreje kot same rešitve SIEM. Glavno sporočilo, ki ga predajamo strankam, je, da SIEM ne more (in ni bil nikoli mišljen, da bi mogel) samostojno pokriti vseh faz napadov in vseh vektorjev.« Kot še meni, je pomembno graditi večplastno obrambo (defense-in-depth), ki poleg SIEM vključuje tudi XDR, varovanje identitet, varnostno orkestracijo in avtomatizacijo, redno proaktivno odkrivanje groženj in analizo ter obveščanje o aktualnih grožnjah. Tako zmanjšamo možnost »slepe pege« v zaznavanju in omogočimo boljši odziv na napade.
Kaj torej ukreniti?
Kot pravi Kasabji, najvišjo dodano vrednost pri dopolnjevanju SIEM prinašajo rešitve XDR, ki so bile razvite prav kot odgovor na pomanjkljivosti tradicionalnih sistemov SIEM. XDR že izvorno združuje podatke iz različnih virov – končnih točk, omrežja, oblaka in identitet – ter omogoča globlje razumevanje varnostnih signalov in avtomatiziran odziv na incidente. To omogoča pokritje širšega spektra napadalnih tehnik, kot jih opredeljuje MITRE ATT&CK, ter občutno zmanjša tveganje, da bi napredne grožnje ostale neopažene.
»Poleg XDR ima pomembno vlogo tudi z UI podprta analitika, ki omogoča prepoznavo anomalij in naprednih vzorcev napadov, ki bi jih tradicionalna pravila težko zaznala. Prav tako je izjemno pomemben proaktiven lov na grožnje (threat hunting), saj sta človeška kreativnost in razumevanje konteksta še vedno najpomembnejše dopolnilo tudi najnaprednejšim avtomatiziranim rešitvam,« še pojasnjuje sogovornik.
Pot naprej: od orodij k disciplini
Kot predlagajo pri NIL-u, je modro napraviti pragmatičen zasuk: manj širine in več discipline, ko gre za zaznave. Drugič, uspeh kibernetske obrambe se ne meri v gigabajtih logov in številu pravil. Namesto tega kaže izmeriti pokritje ATT&CK in odstotek funkcionalnih pravil. Tretjič, zelo pomembna je uskladitev telemetrije z vsebino: če želimo zaznavati napadalne tehnike, kot je injiciranje procesov ali kraja poverilnic, potrebujemo pravilna polja (denimo ukazne vrstice, API-klice, DNS/HTTP metapodatki). Četrtič, pomembna je stalna validacija zaznav (denimo redno izvajanje napadov v peskovniku ali tako imenovanih scenarijev tabletop) in avtomatsko preverjanje zdravja pravil. In zadnjič, pa seveda ne zares nazadnje, pomembno je operacionalizirati odzive: ko pravilo sproži sum, naj integracije z EDR/XDR, identitetami in požarnimi zidovi izvedejo izolacijo, blokado ali rotacijo poverilnic brez človeškega klika.
SIEM ni čarobna škatla, ampak platforma, ki zaživi šele z dobro disciplino zaznav in povezanimi odzivnimi zmogljivostmi. Vse drugo, tako strokovnjaki, je (pre)draga utvara.
VIR: Intervju je bil izvorno objavljen v Časniku Finance.